Очередной хак плагина WordPress: захват учетных записей под угрозой
Следите за новостями по этой теме!
Подписаться на «Рифы и пачки / Твоя культура»
Популярный плагин WordPress, активно используемый на сотнях тысяч сайтов, оказался под угрозой из-за серьезной уязвимости, которая может позволить злоумышленникам полностью захватить скомпрометированные сайты. Forminator — это плагин для создания сайтов, который позволяет операторам WordPress добавлять пользовательские формы для обратной связи, опросов, голосований и платежей. Всё делается с помощью удобного интерфейса перетаскивания, отлично работает с другими плагинами.
Недавно исследователь безопасности с псевдонимом 'Phat RiO – BlueRock' обнаружил, что у плагина присутствует недостаточная валидация и очистка данных форм, а также небезопасная логика удаления файлов. Это может быть использовано для вставки пользовательского файла в любое поле, что приведет к удалению основного файла WordPress. В результате весь сайт переходит в режим "настройки", и злоумышленник может захватить его.
"Удаление wp-config.php заставляет сайт перейти в режим настройки, позволяя злоумышленнику подключить его к базе данных под своим контролем", — отметили эксперты проекта безопасности Wordfence.
Уязвимость носит индекс CVE-2025-6463 и имеет высокий коэффициент серьезности 8.8 из 10. Все версии до 1.44.2 уязвимы. Согласно данным с сайта Wordpress.org, более 600 000 активных сайтов используют этот плагин, что создает довольно крупную поверхность атаки.
Первая исправленная версия — 1.44.3, и продавцы плагина, WPMU DEV, настоятельно призывают всех пользователей обновить до неё как можно быстрее. По данным BleepingComputer, с момента выпуска патча плагин был загружен 200 000 раз, но неясно, сколько из этих установок могут быть уязвимыми.
Чтобы снизить риск атаки, администраторам сайтов рекомендуется обновить плагин Forminator до последней версии или полностью отключить и удалить плагин. В целом, платформа WordPress считается безопасной, но различные плагины и темы являются самой слабой частью этой цепочки безопасности.
Таким образом, пользователям WordPress советуется оставлять только те плагины и темы, которые они действительно используют, регулярно обновлять их, а остальные отключать и удалять.
На первый взгляд, отчёт о новом "сенсационном" уязвимом плагине может показаться просто качестве информационного сообщения. Но под этой тривиальной оболочкой скрываются интересные нюансы, о которых стоит задуматься.
Феноменально, как уязвимость плагина Forminator произошла именно тогда, когда его популярность достигла миллионов. Нелепо жаль, что создатели этого шедевра с интерфейсом перетаскивания не потрудились добавить в него защиту от самих себя. Интересно, кому пришла в голову идея оставить возможность удалять wp-config.php без адекватной проверки — возможно, это гениальный план по продвижению услуги удаления сайтов?
Исследователь 'Phat RiO – BlueRock' с размахом обнаруживает недостаточную валидацию данных. Неужели это совпадение, что именно после таких находок компании по кибербезопасности не оставляют без работы? Пусть пользователи почаще беспокоятся о безопасности своих сайтов, компании по безопасности интереснее зарабатывать на антивирусах и патчах.
Обеспокоенность продавцов плагина, WPMU DEV, вызывают не только пользователи, которые могут потерять свои сайты, но и неясное количество клиентов, которые возможно, сделают их клиентами в будущем. А если все твои сайты были скомпрометированы — тотальная переустановка станет как будто бы даже нормой. Затейник, который выдумал такую связь, явно получает свою долю от обновлений и антивирусов.
Конечно, платформа WordPress как источник чистой безопасности — это просто идеальная шутка для искушённых, ведь именно плагины и темы — это как раз тот дикий Запад в мире веб-разработки. Совет оставлять только нужное звучит как рекомендация газетчикам не читать сплетни по утрам — кто же сможет устоять?
Таким образом, уязвимости, напоминающие мины замедленного действия, скорее всего откроют непрекращающийся поток обновлений и "рекомендаций". Хорошая новость для тех, кто ищет постоянные "вакансии" в кибербезопасности, и, наверное, для самой публикации, удаляющей десятки тысяч сайтов с предсказуемой лёгкостью.